Des chercheurs sont en train de mettre au point des outils basés sur des réseaux neuronaux pour deviner des mots de passe. Ils ne dépassent pas forcément les outils actuels des hackers, mais cela ne saurait tarder.
Casser des mots de passe fait partie des disciplines
incontournables des hackers et autres pirates. Jusqu’à présent, cet art
est essentiellement manié à l’aide d’outils automatisés tels que John The Ripper ou Hashcat.
Ces derniers s’appuient sur des dictionnaires de mots et des règles
d’altération (ajout de chiffres en fin de mot, remplacement
majuscules-minuscules, écriture « leet »,
etc.) pour générer des mots de passe possibles et deviner le code
secret qui se cache derrière une empreinte cryptographique. Mais
bientôt, les attaquants pourront peut-être jouir de nouveaux logiciels,
plus efficaces, grâce aux progrès de l’intelligence artificielle. Des
recherches sont actuellement en cours dans ce domaine et les premiers
résultats sont encourageants.
Quatre chercheurs issus de Stevens Institute of Technology et New York Institute of Technology viennent ainsi de mettre au point une méthode baptisée « PassGAN », basée sur un double réseau neuronal appelé « generative adversial network » (GAN). L’idée est de prendre une liste de mots de passe et d’utiliser le premier réseau neuronal pour générer de nouveaux mots de passe. Ceux-ci seront alors analysés par le second qui ne retiendra que ceux qu’il juge « bons » et qui seront alors retransmis au premier pour en générer d’autres. Et ainsi de suite. Ces itérations successives permettent de créer plein de nouveaux mots de passe dont la « qualité » est très proche de la liste de départ.
Résultat : les réseaux neuronaux ont permis de découvrir 11,5 % des mots de passe LinkedIn, contre 6,37 % pour John The Ripper, 14,5 % pour Hashcat gen2 et 22,9 % pour Hashcat best64. Certes, la méthode PassGAN n’arrive qu’en troisième position, mais en combinant les réseaux neuronaux avec Hashcat gen2, le taux monte à 27 %. « C’est remarquable, car cela montre que les deux réseaux neuronaux peuvent générer un grand nombre de mots de passe qui sont hors de portée des outils de génération usuels », soulignent les chercheurs.
D’autres chercheurs sont également attirés par ce domaine. En 2016, sept chercheurs de l’université Carnegie Mellon ont également présenté une autre méthode de génération de mots de passe basé sur un seul réseau neuronal. Dans leur analyse, ils disent que leur système est systématiquement plus performant que les John The Ripper ou Hashcat. La guerre des réseaux neuronaux est donc lancée. En attendant, le meilleur conseil que l’on peut donner, c’est de rapidement migrer vers un gestionnaire de mots de passe pour se doter de codes secrets aléatoires. Face à tous ces algorithmes de plus en plus sophistiqués, c’est peut-être encore la meilleure défense.
Quatre chercheurs issus de Stevens Institute of Technology et New York Institute of Technology viennent ainsi de mettre au point une méthode baptisée « PassGAN », basée sur un double réseau neuronal appelé « generative adversial network » (GAN). L’idée est de prendre une liste de mots de passe et d’utiliser le premier réseau neuronal pour générer de nouveaux mots de passe. Ceux-ci seront alors analysés par le second qui ne retiendra que ceux qu’il juge « bons » et qui seront alors retransmis au premier pour en générer d’autres. Et ainsi de suite. Ces itérations successives permettent de créer plein de nouveaux mots de passe dont la « qualité » est très proche de la liste de départ.
Générer des centaines de millions de mots de passe...
Les chercheurs ont expérimenté leur méthodes en prenant comme liste de départ 23 millions de mots de passe issus de la base de données du service en ligne RockYou, qui a fuité en 2010. Ils ont ensuite généré 528 millions de mots de passe avec leurs réseaux neuronaux. Ils ont également généré des mots de passe avec les outils usuels : 528 millions avec John The Ripper, 646 millions avec Hashcat version best64 et 441 millions avec Hashcat version gen2. Puis ils ont comparé tous ces nouveaux mots de passe avec la base LinkedIn, qui a fuité en 2016.Résultat : les réseaux neuronaux ont permis de découvrir 11,5 % des mots de passe LinkedIn, contre 6,37 % pour John The Ripper, 14,5 % pour Hashcat gen2 et 22,9 % pour Hashcat best64. Certes, la méthode PassGAN n’arrive qu’en troisième position, mais en combinant les réseaux neuronaux avec Hashcat gen2, le taux monte à 27 %. « C’est remarquable, car cela montre que les deux réseaux neuronaux peuvent générer un grand nombre de mots de passe qui sont hors de portée des outils de génération usuels », soulignent les chercheurs.
... et inventer de nouvelles règles
A l’avenir, ils pensent d’ailleurs pouvoir faire beaucoup mieux que ces logiciels, car « contrairement aux outils basés sur les règles, PassGAN a été capable de générer des mots de passe sans aucune intervention de l’utilisateur, que ce soit une connaissance sur le domaine des mots de passe ou une analyse des fuites de bases de données », ajoutent les chercheurs. Interrogés par Sciencemag.org, ils pensent que leur système pourra même inventer des règles d’altération jusqu’alors inconnus, ce qui permettrait d’aller encore plus loin.D’autres chercheurs sont également attirés par ce domaine. En 2016, sept chercheurs de l’université Carnegie Mellon ont également présenté une autre méthode de génération de mots de passe basé sur un seul réseau neuronal. Dans leur analyse, ils disent que leur système est systématiquement plus performant que les John The Ripper ou Hashcat. La guerre des réseaux neuronaux est donc lancée. En attendant, le meilleur conseil que l’on peut donner, c’est de rapidement migrer vers un gestionnaire de mots de passe pour se doter de codes secrets aléatoires. Face à tous ces algorithmes de plus en plus sophistiqués, c’est peut-être encore la meilleure défense.